Le nouveau malware PamStealer Mac se fait passer pour un gestionnaire de presse-papiers pour voler vos informations de connexion – comment rester en sécurité
0
Suivez-nous
Les chercheurs en sécurité qui se concentrent sur les appareils Apple ont découvert un nouveau malware macOS qui semble étonnamment intelligent lorsqu'il collecte des données et des informations de connexion.
Selon la société informatique Jamf (via ArsTechnica), le nouveau malware, baptisé PamStealer, peut s'installer sur votre Mac en deux étapes. Premièrement, il se déguise en Maccy, un gestionnaire de presse-papiers.
Apparemment, PamStealer est compilé sous forme d'AppleScript écrit en Rust qui utilise l'interface Pluggable Authentication Modules intégrée à macOS pour cibler le mot de passe de connexion de l'appareil, qui est ensuite envoyé à un serveur contrôlé par un attaquant.
Ce qui rend PamStealer unique, c'est qu'il combine AppleScript et des images disque pour pénétrer furtivement dans votre ordinateur. Lorsque vous cliquez sur AppleScript, l'éditeur de script macOS s'ouvre dans lequel le logiciel malveillant est enfoui dans le fichier.
« Plutôt que de s'appuyer sur des commandes shell telles que curl ou zsh, AppleScript exécute un téléchargeur JavaScript for Automation (JXA) autonome qui récupère et organise la charge utile à l'aide des API Objective-C natives », a écrit l'équipe Jamf. « Combiné à une deuxième étape basée sur Rust et à un workflow de capture de mot de passe qui valide les informations d'identification localement via PAM, le résultat est une chaîne d'exécution plus silencieuse que celle que nous observons généralement chez les voleurs macOS de base. »
Comment fonctionne PamStealer

Lorsque quelqu'un installe le faux Maccy et ouvre l'image disque, il est invité à entrer immédiatement Command-R. Cela exécute le code malveillant dans AppleScript. Cela lui permet de contourner com.apple.quarantine, une fonctionnalité normale de macOS qui propose des avertissements et des restrictions lorsque vous ouvrez des fichiers exécutables depuis Internet.
La deuxième étape est un fichier Mach-O spécialement écrit pour les Mac exécutant des processeurs Apple de la série M. Rust est apparemment un code rare pour les voleurs d'informations macOS. Cela regroupe SQLite et l'appelle interface de lecture, ce qui signifie qu'il ouvre et lit directement les fichiers de bases de données.
PamStealer affichera une invite de mot de passe native censée ressembler à une demande d'autorisation système. On y lit : « « Maccy veut apporter des changements. Entrez votre mot de passe pour autoriser cela.
Une fois qu'un mot de passe est saisi, il est validé via l'API PAM, ce qui signifie qu'il est plus difficile à détecter pour les défenseurs des logiciels malveillants. De plus, il peut soit donner à un acteur malveillant un accès complet au disque, soit injecter du code conçu pour accéder aux comptes Ethereum.
« Ensemble, ces comportements illustrent comment les voleurs de macOS continuent d'évoluer, en adoptant des chaînes d'exécution plus silencieuses et des implémentations natives qui réduisent les opportunités de détection traditionnelles tout en restant compatibles avec les fonctionnalités standard de macOS », a déclaré Jamf.
Comment se protéger de PamStealer

Avant tout, Maccy est une application réelle et légitime qui est très populaire. Si vous souhaitez consulter l'application, le seul véritable site Web est maccy.app.
Jamf a découvert que le faux Maccy était hébergé sur maccyapp.com, un site que vous devriez pas visite.
Deuxièmement, c'est un bon rappel de vérifier deux ou trois fois les URL des sites Web. Spécifiquement pour les applications macOS, vous pouvez également voir si l'application en question est disponible dans l'App Store d'Apple. Maccy, par exemple, est dans l'App Store.
Apple est encore un jardin assez fermé, donc si vous cherchez quelque chose et que vous voulez être sûr que c'est réel, je vous recommande de commencer par là avant de vous aventurer dans l'arrière-pays d'Internet.
Au-delà de cela, votre Mac est livré avec un logiciel de sécurité intégré sous la forme de XProtect. Mais si vous avez besoin d’une protection supplémentaire, cela vaut peut-être la peine d’investir dans l’une des meilleures solutions logicielles antivirus pour Mac.




